Celem jest uniemożliwienie użytkownikom uruchamiania niepożądanych programów na serwerze terminali.
Przeczytałem wiele artykułów od Microsoft i innych, które mówią, że nowa funkcja Applocker jest o 100% lepsza niż stara Polityka ograniczeń oprogramowania i jest zalecana jako zamiennik tej ostatniej.
Nie jestem pewien, czy rozumiem prawdziwe zalety Applocker oprócz wykonywania trybu jądra. Większość jego funkcji można odtworzyć w Polityce ograniczeń oprogramowania.
Jednocześnie ma jedną WIELKĄ wadę, która czyni ją dość bezużyteczną: nie jest rozszerzalna i nie można dodawać niestandardowych rozszerzeń plików, które chcesz ograniczyć.
Jakie są zalety Applocker nad SRP i co poleciłbyś do kontroli oprogramowania?
Odpowiedzi:
Zasady ograniczeń oprogramowania są przestarzałe przez Microsoft ( technet skutecznie twierdzi, że SRP nie jest obsługiwane ), ponieważ Windows 7 Enterprise / Ultimate wprowadził funkcję AppLocker.
W praktyce SRP ma pewne pułapki, zarówno dla fałszywych negatywów, jak i fałszywie pozytywnych. Zaletą AppLocker jest to, że wciąż jest aktywnie utrzymywana i wspierana. Jeśli AppLocker jest opcją, może być tańszy - po uwzględnieniu czasu i ryzyka. Możliwe jest również, że istnieje odpowiednia alternatywa strony trzeciej (ale to pytanie nie zawierało tej opcji :).
Mamy nadzieję, że doskonale zrozumiesz pułapki SRP, zanim wpadniesz w którekolwiek z nich
</sarcasm>
. Niektóre z nich zostały opisane w ładnym artykule dotyczącym bezpieczeństwa autorstwa Vadims Podāns .Znane pułapki
Domyślnie wykonywanie z
\Windows
folderu jest dozwolone. Użytkownicy mogą zapisywać niektóre podfoldery. Applocker jest taki sam, ale przynajmniej oficjalna dokumentacja wspomina o tym ograniczeniu .EDYCJA: „Aby wyliczyć wszystkie foldery z dostępem użytkowników do zapisu , możesz użyć na przykład narzędzia AccessEnum z pakietu Sysinternals.” (lub AccessChk ).
Z technicznego punktu widzenia dokumentacja przestrzega również przed nadpisywaniem domyślnych reguł . EDYCJA: Dokument NSA podaje 16 przykładów folderów na czarnej liście za pomocą SRP , chociaż reguły ścieżki rejestru nieprawidłowo używają ukośników odwrotnych, więc należy je poprawić (patrz punkt na ścieżkach rejestru poniżej) i ostrzega przed powszechnym szerokim wpisem na czarnej liście.
Oczywistym pytaniem jest, dlaczego
\Windows
zamiast tego nie umieszczamy ostrożnie na białej liście poszczególnych ścieżek . (W tym\Windows\*.exe
dziedzictwoSystem32\*.exe
, itp.). Nigdzie nie zauważyłem żadnych odpowiedzi :(.Używając zmiennych środowiskowych, takich jak
%systemroot%
, SRP może być ominięty przez użytkowników poprzez wyczyszczenie zmiennej środowiskowej. EDYCJA: Nie są one używane w sugerowanych ustawieniach domyślnych. Jednak mogą być kuszące w użyciu. Ten pistolet jest naprawiony w AppLocker, ponieważ nigdy nie patrzy na zmienne środowiskowe.\Program Files
używanych w nowoczesnych instalacjach 64-bitowych. Podczas rozwiązywania tego problemu przy użyciu bezpieczniejszych „ścieżek rejestru” pojawiają się doniesienia o fałszywych odmowach w przypadkowych sytuacjach, których łatwo można pominąć w testach. np. zobacz komentarze na temat SpiceWorks SRP . EDYCJA: Ma to związek z 32-bitowymi aplikacjami odczytującymi odpowiednie ścieżki z WOW6432Node rejestru: rozwiązaniem jest dodanie obu tych ścieżek do SRP, aby umożliwić wszystkim programom działanie na komputerach 32-bitowych i 64-bitowych jako nieograniczone, czy uruchamiane z proces hosta x64 lub x86:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
wscript /e
... lub może upychają wystarczającą ilość kodu powłoki w wbudowanym parametrze skryptu ... itd.*.Extension
bez ostrzeżenia. Więc nie możesz ufać oficjalnej dokumentacji i wydaje się, że jest mało prawdopodobne, aby ją teraz naprawić.Pragmatyczne podejście
Biała lista oprogramowania jest potencjalnie bardzo potężną obroną. Jeśli staniemy się cyniczni: właśnie z tego powodu Microsoft deprecjonuje tańsze wersje i wymyśla bardziej złożone.
Być może żadna inna opcja nie jest dostępna (w tym rozwiązania innych firm). Następnie pragmatycznym podejściem byłoby próba skonfigurowania SRP tak prosto, jak to możliwe. Potraktuj to jako dodatkową warstwę obrony ze znanymi dziurami. Dopasowywanie pułapek powyżej:
%systemroot%
.\Program Files\
katalogi są dozwolone na nowoczesnych komputerach 64-bitowych. Dodatkowe „ścieżki rejestru”, które należy dodać\Program Files\
na komputerach 64-bitowych, to%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
i%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
.\
z forwardslashes/
(np%HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe
)\\%USERDNSDOMAIN%\Sysvol\
. (Patrz punkt 2, westchnienie, a następnie punkt 6).źródło
Zgadzam się, że SRP ma dodatkowe funkcje, z których AppLocker mógłby naprawdę skorzystać.
Biorąc to pod uwagę, widzę duże zalety AppLocker (udokumentowane przez to porównanie ) jako:
źródło
Największą zaletą jest dla mnie możliwość dodania do listy podpisanych plików wykonywalnych przez wydawcę. Zajrzyj na ten http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx
źródło
AppLocker nie ma żadnych korzyści, Microsoft opublikował rażące kłamstwa: 1. Obiekty GPO z regułami SAFER mogą być dołączane do użytkowników i grup użytkowników; 2. Windows Vista wprowadził wiele lokalnych obiektów GPO, które osiągają ten sam wynik bez kontrolera domeny; 3. Tryb audytu jest dostępny poprzez funkcję rozszerzonego logowania bez wymuszania.
źródło
Używam Applocker w mojej firmie. Stosujemy strategię: odrzuć wszystko jako punkt odniesienia (w rzeczywistości: domyślnie Applocker), a następnie zrób to, co zostało zasugerowane: utwórz regułę, która zezwala tylko na podpisane aplikacje (biuro, Adobe, wintools, ax itp.). Większość, być może całe złośliwe oprogramowanie nie jest oprogramowaniem podpisanym, więc się nie uruchomi. To prawie żadna konserwacja. Musiałem tylko pozwolić na 3 dodatkowe starsze aplikacje.
Ponadto nie mogę potwierdzić, że nie można używać ścieżek UNC. W niektórych dodatkowych zasadach odmowy bezpieczeństwa z powodzeniem używam ścieżki UNC. Problem polega na użyciu zmiennych środowiskowych: nie działają one dla Applocker. Użyj * symboli wieloznacznych. Używam go w systemie Windows 2008 R2 i Windows 2012 R2.
Bardzo mi się podoba: prawie nie ma spadku wydajności. Zgodnie z dokumentacją: Applocker polega na usłudze tożsamości aplikacji (upewnij się, że uruchamia się automatycznie).
źródło